Verwerkingscharter lokale mandatarissen
Lokale afdelingen van CD&V verwerken onder andere persoonsgegevens in opdracht van Unitas vzw (0414.749.234), verder CD&V genoemd. CD&V bepaalt het doel en de middelen om persoonsgegevens te verzamelen om het doel van de vzw te kunnen verwezenlijken. CD&V is in deze gegevensverwerkingsverantwoordelijke; de limitatief bepaalde mandatarissen in de verschillende lokale afdelingen krijgen een beperkte verwerkingsbevoegdheid op ledendata. Volgens de Algemene Verordening Gegevensbescherming (AVG) of GDPR is CD&V verplicht om technische en organisatorische beveiligingsmaatregelen te nemen. In die zin wil CD&V erop toezien dat de lokale mandatarissen contractueel gebonden zijn tot de juiste omgang met haar ledendata.
VERWERKINGSCHARTER LOKALE MANDATARISSEN
De mandataris voert verschillende verwerkingen uit met betrekking tot persoonsgegevens voor en in opdracht van CD&V. CD&V wenst enkele verplichtingen op te leggen aan de mandataris om op een veilige, correcte en verantwoorde manier met ledendata om te gaan. Daarmee wenst CD&V tegemoet te komen aan haar verplichting als verantwoordelijke tot het nemen van organisatorische beveiligingsmaatregelen, zoals bepaald in de Algemene Verordening Gegevensbescherming (AVG).
CD&V en de mandataris verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven. Voor de definities van begrippen wordt aangesloten bij artikel 1 van de AVG. De mandataris zal de persoonsgegevens alleen verwerken voor en in opdracht van CD&V om uitvoering te geven aan de kerntaken (zoals uitgebreid omschreven in de statuten van de vzw). Daartoe krijgt de mandataris enkel beperkt toegang tot de persoonsgegevens van CD&V-leden die onder de betrokken afdeling vallen.
De mandataris heeft geen zeggenschap over de persoonsgegevens die beschikbaar worden gesteld. Zonder noodzaak, expliciete toestemming van CD&V of wettelijke verplichting zal de mandataris de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. CD&V garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de
AVG genoemde grondslag. De mandataris zal CD&V, wat in redelijkheid van hem verwacht kan worden, bijstaan bij het vervullen van de plicht om aan de verzoeken van de betrokkenen te voldoen.
De mandataris zal alle instructies van CD&V correct nakomen, met name om ervoor te zorgen dat de persoonsgegevens vertrouwelijk blijven, niet verloren geraken, correct worden verwerkt en niet op een onrechtmatige wijze worden verwerkt. Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de AVG. CD&V is gerechtigd om de naleving van de maatregelen de mandataris tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van het uitvoeren van een audit.
De AVG wet- en regelgeving wordt gehandhaafd door de gegevensbeschermingsautoriteit waar inbreuken gemeld kunnen worden. Deze instantie zal vervolgens CD&V als verwerkingsverantwoordelijke een bindende aanwijzing geven voordat ze een bestuurlijke boete oplegt. CD&V dient de mandataris daarvan direct op de hoogte stellen. De mandataris zal daarna er alles aan doen wat in redelijkheid van hem verwacht kan worden om de naleving mogelijk te maken. Als de mandataris niet doet wat in redelijkheid van hem gevraagd kan worden waardoor er een boete volgt, of als de gegevensbeschermingsautoriteit direct een boete oplegt omdat er sprake is van opzet of ernstige verwijtbare nalatigheid aan de kant van de mandataris, dan geldt de toepasselijke aansprakelijkheidsbeperking als hierna genoemd in het hoofdstuk 'Aansprakelijkheid' niet.
BESCHRIJVING EN DOEL
De mandataris verwerkt persoonsgegevens namens CD&V met als doel uit de statuten:
1. Politieke besluitvorming en beleid
2. Valorisering en ondersteuning van vrijwilligers
3. Rekrutering en selectie van politiek personeel
4. Ledenwerving
5. Interne en externe communicatie
6. Netwerking
7. Vorming
In dat verband krijgt de mandataris toegang tot de persoonsgegevens van leden en niet-leden. De overeenkomst regelt de volgende verwerking van persoonsgegevens: raadplegen, vastleggen, ordenen, verzamelen, opslaan, gebruiken, structureren, opvragen, wissen en wijzigen.
PRIVACY EN GEHEIMHOUDING
De mandataris is zich ervan bewust dat de persoonsgegevens waarover hij/zij beschikt een geheim en organisatiegevoelig karakter heeft. Slechts een beperkt aantal mandatariss heeft toegang tot de gegevens en zal gedurende diens engagement op verantwoorde wijze met deze informatie omgaan.
De mandataris verbindt zich tot strikte geheimhouding en confidentialiteit met betrekking tot de persoonsgegevens die deze onder beheer krijgt en zal deze nooit aan derden doorgeven of anderszins verspreiden of ontsluiten zonder de uitdrukkelijke, voorafgaande toestemming van CD&V.
Indien de mandataris verplicht zou zijn bij wettelijke verplichting of gerechtelijk/administratief bevel om bepaalde persoonsgegevens vrij te geven, zal deze CD&V hiervan onmiddellijk en voorafgaand over informeren.
Gegevens in het ledenportaal zijn toegankelijk voor maximaal drie bestuursleden/mandatarissen (bepaald in overleg met CD&V). Zij verkrijgen logingegevens om toegang te krijgen tot het portaal. De mandataris verbindt zich ertoe deze logingegevens in geen geval door te geven en steeds goed te zorgen voor het geheim karakter ervan. Iedere mandataris is zelf volledig verantwoordelijk voor de eigen login en zorgt in eigen omgeving voor een beperkte toegang tot diens eindapparatuur, minstens met gebruik van verschillende accounts voor gezinsleden. De mandataris verbindt zich er ook toe om een veilig paswoord te kiezen van minstens acht karakters met een mix van letters, cijfers, hoofdletters en andere karakters. Persoonsgegevens die buiten het ledenportaal verwerkt worden zijn op gepaste wijze beveiligd en toegankelijk voor een beperkt aantal vrijwilligers.
De mandataris verbindt zich ertoe de eigen eindapparatuur afdoende te beveiligen volgens de actuele stand van de wetenschap en technologie tegen aanvallen van buitenaf, zoals hacking, virussen en malware. De mandataris verklaart ook dat deze de risico’s omtrent phishing, cryptolocking en andere cyberaanvallen goed begrijpt en zich zeer terughoudend opstelt tegenover dergelijke pogingen.
De mandataris zal uit het ledenbestand geen lokale uittreksels of kopieën maken of bijhouden. Mocht zulks toch om de ene of andere reden essentieel zijn, ziet de mandataris erop toe dat deze kopieën steeds onmiddellijk na gebruik vernietigd worden.
MELDPLICHT DATALEKKEN
De AVG vereist dat eventuele datalekken binnen de 72 uur na ontdekking ervan gemeld worden aan de gegevensbeschermingsautoriteit door de verwerkingsverantwoordelijke van de data. Bij ieder incident of vermoeden van datalek zal de mandataris nooit een eigen afweging of beoordeling doen, maar steeds CD&V via privacy@cdenv.be onmiddellijk, juist, tijdig en volledig informeren over relevante incidenten, zodat CD&V als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan voldoen.
Voor het bepalen van een datalek, gebruikt de mandataris de AVG als leidraad. Onder een datalek vallen alle beveiligingsincidenten waardoor de bescherming van persoonsgegevens op enig moment is doorbroken of waardoor de vertrouwelijkheid, de beschikbaarheid of de integriteit van de gegevens aangetast lijken te zijn. Het kan bijvoorbeeld gaan over het verlies van een USB-stick of computer, inbraak door een hacker, verzending van een e-mail waarin de e-mailadressen zichtbaar zijn voor alle geadresseerden, een malware besmetting of een calamiteit zoals brand in een datacenter.
Indien blijkt dat bij de mandataris sprake is van een potentieel datalek dat door CD&V gemeld moet worden aan de gegevensbeschermingsautoriteit en/of de betrokkene(n), dan zal de mandataris, CD&V daarover zo spoedig mogelijk informeren.
De mandataris tracht CD&V direct alle informatie te verstrekken die CD&V nodig heeft om een volledige melding bij de gegevensbeschermingsautoriteit en/of de betrokkene(n) te verrichten. Indien deze informatie nog niet bekend is, bijvoorbeeld omdat het datalek door de mandataris wordt onderzocht, dan zal de mandataris de informatie verstrekken die CD&V nodig heeft om in ieder geval eerst een voorlopige melding bij de gegevensbeschermingsautoriteit en/of de betrokkene(n) te kunnen verrichten. Dit bevat in ieder geval (1) de aard van de inbreuk, (2) een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk en (3) de getroffen en te treffen maatregelen om de negatieve gevolgen van het datalek te beperken en te verhelpen.
De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de gegevensbeschermingsautoriteit zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking. De mandataris informeert CD&V daarom zo snel mogelijk, uiterlijk 24 uur na het ontdekken van een datalek, zodat CD&V tijdig de melding kan doen bij de gegevensbeschermingsautoriteit. Daarna houdt de mandataris zich ter beschikking van CD&V voor verder onderzoek, overleg en afhandeling van het datalek.
In ieder geval houdt de mandataris CD&V op de hoogte over een wijziging van de situatie, het bekend worden van nadere informatie en de maatregelen die getroffen worden. De mandataris registreert alle security incidenten en handelt deze volgens een vaste procedure (workflow) af.
MEDEWERKING
De mandataris zal CD&V steeds, in de mate van het mogelijke, nuttige en noodzakelijke, bijstaan bij het beantwoorden van verzoeken van betrokkenen, het uitvoeren van audits, het beantwoorden van vragen en bij eventuele procedures waarin CD&V betrokken zou worden.
Indien de mandataris betreffende de persoonsgegevens of de verwerking ervan problemen ervaart, klachten ontvangt, verzoeken van betrokkenen tot uitoefening van hun rechten of andere vragen ontvangt, zal de mandataris deze onmiddellijk doorsturen naar CD&V via privacy@cdenv.be . Ook wanneer de mandataris vermoedt dat er zich een probleem manifesteert met betrekking tot het Ledenportaal, het Afdelingsportaal of de ledengegevens, zal de mandataris CD&V onmiddellijk inlichten via privacy@cdenv.be.
AANSPRAKELIJKHEID
In de mate van het mogelijke worden persoonsgegevens bewaard in het ledenportaal, beschikbaar gesteld door CD&V. Dit ledenportaal is toegankelijk voor drie bestuursvrijwilligers/mandatarissen. CD&V garandeert dat het ledenportaal voldoet aan alle specificaties die zij opgeeft. In geval van fouten zal CD&V deze altijd zo snel mogelijk herstellen. CD&V besteedt grote zorg aan een juiste werking van het ledenportaal en een correcte uitvoering van zijn dienstverlening. Persoonsgegevens die buiten het ledenportaal beschikbaar zijn worden op gepaste manier beveiligd door de mandataris conform de verplichting van de AVG.
Ondanks deze inspanningen kunnen er toch dingen verkeerd gaan die voor CD&V tot schade kunnen leiden. De mandataris streeft daarbij in overleg met CD&V steeds naar een passende oplossing. De mandataris leeft de toepasselijke wet- en regelgeving inzake de bescherming van persoonsgegevens na. De mandataris is daarbij enkel aansprakelijk voor de schade die door verwerking is veroorzaakt ten gevolge van een herhaalde lichte fout, grove fout of nalatigheid, bedrog of misdrijf door de mandataris.
DUUR
Dit Verwerkingscharter neemt een aanvang op de datum van akkoord door de mandataris, gegeven op de loginpagina van het Ledenportaal en blijft van kracht voor de bepaalde duur overeenkomstig het lokale mandaat van de mandataris, behoudens voortijdige beëindiging van dit Verwerkingscharter.
Elke partij mag dit Verwerkingscharter beëindigen door aan de andere partij een schriftelijke kennisgeving daartoe te bezorgen. Daarbij moet rekening worden gehouden met een opzeggingstermijn die niet minder dan 30 dagen mag bedragen. De kennisgeving begint te lopen op de eerste dag van de maand volgend op die waarin ze is gegeven. CD&V mag deze overeenkomst onmiddellijk beëindigen, zonder zich te wenden tot een rechtbank, door aan de mandataris een schriftelijke kennisgeving van beëindiging te overhandigen, als:
- De mandataris een inbreuk pleegt op dit Verwerkingscharter en het een zware inbreuk betreft, dan wel het een lichtere inbreuk betreft die niet kan worden ongedaan gemaakt.
- De mandataris een inbreuk pleegt op dit Verwerkingscharter en deze inbreuk weliswaar ongedaan kan worden gemaakt, maar de mandataris er niet in slaagt de inbreuk ongedaan te maken binnen een periode van een redelijke termijn na overhandiging van een schriftelijke ingebrekestelling aan de mandataris om de inbreuk ongedaan te maken.
- De mandataris betrokken is in een ontbinding.
De mandataris bewaart de persoonsgegevens niet langer dan dat noodzakelijk is voor de uitvoering van dit Verwerkingscharter. Na afloop van de verwerkingsdiensten zal de mandataris de persoonsgegevens wissen, naargelang de keuze van CD&V. Tevens zal De mandataris ook bestaande kopieën van de persoonsgegevens vernietigen. Op verzoek van CD&V zal de mandataris het uitwissen van alle kopieën van de persoonsgegevens bevestigen. Indien de opslag van persoonsgegevens verplicht is op basis van de toepasselijke wet- en regelgeving zal de mandataris CD&V hiervan informeren, tenzij die wet- en regelgeving deze informatie verbiedt.
DIVERSEN
Dit Verwerkingscharter omvat de volledige overeenkomst tussen de partijen met betrekking tot de verwerking van persoonsgegevens en houdt geenszins een verplichting in tot het ter beschikking stellen van persoonsgegevens aan de mandataris. Als één of meerdere bepalingen van deze overeenkomst nietig of onhaalbaar worden verklaard, dan vervangen de partijen de genoemde bepalingen door geldige en haalbare bepalingen die zoveel mogelijk de economische, commerciële of andere beoogde doelstellingen van de nietig of onhaalbaar verklaarde bepalingen realiseren. De overige bepalingen van deze overeenkomst blijven onverminderd van kracht. Het loutere feit dat een partij niet aandringt op strikte naleving van een bepaling van de overeenkomst of dat niet afdwingt, kan niet worden geïnterpreteerd als afstand of opgave van de rechten van die partij, tenzij zulks schriftelijk wordt bevestigd.
07 oktober 2020